En nuestros tiempos una parte esencial del mundo de las comunicaciones son las Redes Sociales (RRSS), en las que todo se comparte. Tanto es así, que hay muchos usuarios que no son conscientes de los riesgos a los que quedan expuestos una vez que publican su información en las plataformas sociales, tales como Facebook, Instagram, etc. Uno de los riesgos de esta sobreexposición actual es el hecho de que tanto ciberdelincuentes como las propias multinacionales que se encargan de la gestión de las plataformas intenten aprovechar esos datos de carácter personal y explotarlos en beneficio propio.
Precisamente algo similar ocurrió en el año 2015 cuando un grupo de ciudadanos de la ciudad de Illinois comenzaron a cuestionar las prácticas utilizadas por Facebook. En concreto, en este caso, la red social estaba utilizando una nueva técnica de reconocimiento facial, a través de la cual se identificaba de forma automática a las personas que aparecen en las fotografías como «sugerencias para etiquetar».
¿Cómo funciona esta técnica?
En primer lugar, cuando un usuario de Facebook subía una fotografía gracias al reconocimiento facial se le indicaban las sugerencias de las personas con las que aparecía para poder etiquetarlas directamente, siempre y cuando estas fuesen amigos suyos en la red o amigos de sus amigos.
Una vez que la persona que sube la fotografía decide etiquetar a los usuarios sugeridos éstos recibían una notificación en su perfil de esa etiqueta y de la publicación en su biografía.
Hasta aquí, seguramente esta información resulte muy común dado que es una funcionalidad que todos los usuarios de Facebook conocen y puede resultar hasta “cómoda” y práctica a la hora de etiquetar a las personas con las que compartes tus momentos y fotografías.
Es en este punto donde nos preguntamos: ¿Dónde queda la privacidad de esas personas? ¿Qué normativa se encarga de regularlo?
Para una correcta respuesta, lo primero es determinar qué tipo de datos de carácter personal está tratando Facebook en el supuesto de estudio de este artículo, y tal y como hemos indicado con anterioridad al tratarse de una técnica basada en el reconocimiento facial, estamos por tanto ante un tratamiento de datos biométricos.
Establecido lo anterior, analizaremos brevemente la normativa que nos protege a nosotros junto con la aplicada en el caso concreto de estudio:
- Normativa a nivel europeo:
El Reglamento General de Protección de Datos europeo (RGPD), define los datos biométricos de la siguiente forma (artículo 4.14):
“Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
A mayor abundamiento, el RGPD, concretamente en su artículo 9, eleva estos datos personales a la característica de “especialmente protegidos”, por lo que se si se quiere realizar el tratamiento de éstos, el responsable ha de cumplir con una de las bases jurídicas indicadas a lo largo del punto 2, que realmente se identifican como excepciones a la prohibición del tratamiento de este tipo de datos.
En el caso que nos atañe y en base a la normativa europea solamente se podría haber aplicado la excepción del artículo 9.2.a), esto es, contar con el consentimiento explícito del interesado.
- Normativa de Illinois:
En concreto, en el Estado de la controversia, cuentan con la Ley de Protección de Datos Biométricos (BIPA), que fue aprobada en 2008, precisamente para luchar contra la recogida y almacenamiento ilegal de información biométrica.
La ley referenciada requiere un consentimiento explícito para que las empresas recopilen marcadores biométricos de sus clientes, incluidas las huellas dactilares y los modelos de reconocimiento facial.
En base a la indicada normativa, los usuarios de Facebook y ciudadanos del Estado de Illinois presentaron una demanda colectiva alegando que la plataforma violó la BIPA cuando estaba escaneando imágenes de sus caras, sin su consentimiento, con el fin de utilizarlas para su herramienta de sugerencias para etiquetar.
Finalmente, después de una disputa judicial de casi cinco años, hace unas semanas la compañía que dirige Mark Zuckerberg informó de que se había llegado a un pacto con los demandantes. En dicho acuerdo extrajudicial se les ofrece pagarles 550 millones de dólares por haber usado sus datos biométricos sin permiso para sistemas de reconocimiento facial.
Pero ¿qué está haciendo Facebook actualmente con el reconocimiento facial?
Pues bien, a día de hoy el reconocimiento facial se encuentra desactivado por defecto. Es decir, si un usuario está interesado en que la citada técnica se utilice en su perfil será él quien deberá de consentirlo y autorizarlo dentro de la configuración de privacidad de su perfil, por lo que, si el usuario no da su consentimiento la compañía “eliminará su patrón de reconocimiento facial”. Esto implica que aún podrán etiquetar en fotos al usuario, pero no sugerirán etiquetas en función de un patrón de reconocimiento facial.
Y qué ocurre si doy el consentimiento para que Facebook utilice la técnica del reconocimiento facial en mi perfil?
La propia red en su apartado de ayuda (puedes consultarlo aquí), nos da la información necesaria sobre lo que podrá realizar si como usuario otorgas tu consentimiento. Entre otras, las finalidades serán:
- Si activas la opción de reconocimiento facial, guardaremos tu patrón mientras tu cuenta siga activa, pero lo eliminaremos si desactivas la opción.
- No compartimos tu patrón con nadie que no seas tú.
- No tenemos ninguna función de reconocimiento facial que informe a extraños de quién eres.
- Si se te desetiqueta de una foto o un vídeo, no utilizaremos esa foto ni ese vídeo como parte del patrón de reconocimiento facial para reconocerte.
El reconocimiento facial solo está disponible para mayores de edad. De hecho, la red social nos informa en su configuración de que la opción de reconocimiento facial está desactivada para los menores de 18 años, limitando así el alcance de las personas que pueden ver su información personal, sin perjuicio de que exista la posibilidad de crearse una cuenta en Facebook a partir de la edad de 14 años. Como podemos comprobar, toda la información necesaria la encontramos en la propia aplicación, de tal manera que, si estamos interesados en activar esa opción, conviene revisarla antes de hacerlo, para así ser conocedores del tratamiento de nuestros datos.
De lo indicado a lo largo del presente artículo se puede concluir que, en ambos casos, tanto cuando sea de aplicación la normativa europea en materia de protección de datos (RGPD) como en el caso de la normativa particular de Illinois (BIPA) se deberá de solicitar un consentimiento explícito por parte del responsable para poder llevar a cabo el tratamiento de datos de carácter sensible. En este caso ha ocurrido con Facebook, pero no olvidemos que cualquier otra aplicación (como puede ser Instagram, Snapchat etcétera) que quiera tratar estas u otras categorías especiales de datos deberán de cumplir con las exigencias establecidas por la normativa en materia de protección de datos al respecto.